# Document made available under the Patent Cooperation Treaty (PCT)

International application number: PCT/JP05/003728

International filing date: 04 March 2005 (04.03.2005)

Document type: Certified copy of priority document

Document details: Country/Office: JP

Number: 2004-061156

Filing date: 04 March 2004 (04.03.2004)

Date of receipt at the International Bureau: 12 May 2005 (12.05.2005)

Remark: Priority document submitted or transmitted to the International Bureau in

compliance with Rule 17.1(a) or (b)



07. 3. 2005

# 日本国特許庁 JAPAN PATENT OFFICE

別紙添付の書類に記載されている事項は下記の出願書類に記載されている事項と同一であることを証明する。

This is to certify that the annexed is a true copy of the following application as filed with this Office.

出願年月日 Date of Application:

2004年 3月 4日

出 願 番 号 Application Number:

特願2004-061156

パリ条約による外国への出願 に用いる優先権の主張の基礎 となる出願の国コードと出願 番号

となる出願の国コードと出願 番号 The country code and number of your priority application, to be used for filing abroad

under the Paris Convention, is

JP2004-061156

出 願 人

株式会社東芝

Applicant(s):

2005年 4月19日





【書類名】 特許願 【整理番号】 89B0380161 【提出日】 平成16年 3月 4日 【あて先】 特許庁長官殿 【国際特許分類】 G21C 17/00 【発明者】 神奈川県横浜市磯子区新杉田町8番地 株式会社東芝 横浜事業 【住所又は居所】 所内 泉幹雄 【氏名】 【発明者】 神奈川県横浜市磯子区新杉田町8番地 株式会社東芝 横浜事業 【住所又は居所】 所内 林 俊文 【氏名】 【発明者】 株式会社東芝 横浜事業 【住所又は居所】 神奈川県横浜市磯子区新杉田町8番地 所内 【氏名】 垂水 輝次 【発明者】 【住所又は居所】 神奈川県横浜市磯子区新杉田町8番地 株式会社東芝 横浜事業 所内 小田中 【氏名】 滋 【発明者】 神奈川県横浜市磯子区新杉田町8番地 株式会社東芝 横浜事業 【住所又は居所】 所内 小田 直敬 【氏名】 【発明者】 神奈川県横浜市磯子区新杉田町8番地 株式会社東芝 横浜事業 【住所又は居所】 所内 伊藤 敏明 【氏名】 【発明者】 東京都府中市東芝町1番地 株式会社東芝 府中事業所内 【住所又は居所】 佐藤 俊文 【氏名】 【発明者】 東京都府中市東芝町1番地 株式会社東芝 府中事業所内 【住所又は居所】 【氏名】 北蘭 秀亨 【発明者】 神奈川県横浜市磯子区新杉田町8番地 株式会社東芝 横浜事業 【住所又は居所】 所内 【氏名】 前川 立行 【特許出願人】 【識別番号】 000003078 【氏名又は名称】 株式会社 東芝 【代理人】 【識別番号】 100078765 【弁理士】

【氏名又は名称】

【氏名又は名称】

【選任した代理人】 【識別番号】

【弁理士】

波多野 久

100078802

関口の俊三

【選任した代理人】

【識別番号】 100077757

【弁理士】

【氏名又は名称】 猿渡 章雄

【選任した代理人】

【識別番号】 100122253

【弁理士】

【氏名又は名称】 古川 潤一

【手数料の表示】

【予納台帳番号】 011899 【納付金額】 21,000円

【提出物件の目録】

【物件名】 特許請求の範囲 1

 【物件名】
 明細書 1

 【物件名】
 図面 1

 【物件名】
 要約書 1



#### 【請求項1】

ディジタルロジックを用いて構築された原子炉の安全保護計装システムにおいて、入力の全てのロジックパターンに対する出力のロジックパターンがあらかじめ検証された機能ユニットと、前記機能ユニットを組み合わせて構成した機能モジュールとによりディジタルロジック部分が構成されたことを特徴とする安全保護計装システム。

#### 【請求項2】

前記機能ユニットは、入力の全てのロジックパターンに対する出力のロジックパターンを 個別にハードウエア上に実装して、設計仕様から求めた予測値と出力値とが一致すること を確認した機能ユニットであることを特徴とする請求項1記載の安全保護計装システム。

#### 【請求項3】

前記機能モジュールは、あらかじめ性能が検証された機能ユニットと同一のゲート構成を 有する機能ユニットのみで構成されたことを特徴とする請求項1記載の安全保護計装シス テム。

#### 【請求項4】

前記機能ユニットを組み合わせて構成した前記機能モジュールが、前記機能ユニットの出力を媒介するレジスタと、前記機能ユニットの信号処理のタイミングを合わせる遅延要素とを備えたことを特徴とする請求項1記載の安全保護計装システム。

#### 【請求項5】

前記機能ユニットを組み合わせて構成した前記機能モジュールが、前記機能ユニットの出力を媒介するレジスタを備え、前記機能ユニットのうち前記レジスタを駆動するクロックが異なる機能ユニット間の信号を受け渡しするハンドシェイクを備えたことを特徴とする請求項1記載の安全保護計装システム。

#### 【請求項6】

ハードウエアが実行する有効なプログラム文および動作経路を実行する入力パターン群を 作成したソフトウェアを備え、前記入力パターンの割合または前記入力パターンの数が十 分か評価するブランチカバレッジまたはトグルカバレッジを有し、入力に対する出力が設 計仕様から求めた予測値と一致することを検証して機能ユニット間の接続を確認すること を特徴とする請求項1記載の安全保護計装システム。

#### 【請求項7】

前記機能モジュールの設計仕様に応じた入力パターンを作成し、前記機能モジュールの入力に対する出力が設計仕様から予測した予測値と一致することを確認するように構成したことを特徴とする請求項1記載の安全保護計装システム。

#### 【請求項8】

前記機能モジュールの設計仕様に応じたアナログ信号パターンをディジタル変換して入力パターンとするAD素子と、前記機能モジュールの入力に対する出力をアナログ変換してアナログ値とするDA素子とを備え、前記アナログ値が設計仕様から予測した予測値と一致することを確認することを特徴とする請求項1記載の安全保護計装システム。

#### 【請求項9】

前記機能ユニットにより2変数の乗算または比較を行い、2変数の一方を変数のビット数より少ないビット数のアドレスで指定可能な定数に置き換えることを特徴とする請求項1 記載の安全保護計装システム。

#### 【請求項10】

前記機能ユニットが動作の正常修了を表す動作フラッグを受け渡す機能を備え、前記機能モジュールが前記動作フラッグを監視する機能を有し、前記機能モジュールからの出力が入力されて前記動作フラッグの有無を判定するトリップ判定器と、前記動作フラッグのない場合に動作不良信号を出力する異常診断回路を備えたことを特徴とする請求項1記載の安全保護計装システム。

#### 【請求項11】

前記機能ユニットが、出力の最大値および最小値を簡略式により算出する機能と、前記出



#### 【請求項12】

ディジタル出力をアナログ値に変換した後に光に変換する第1の安全保護計装システムと、この光をアナログ値に変換した後ディジタル値に変換する第2の安全保護計装システムとを備え、前記第1の安全保護計装システムと前記第2の安全保護計装システムとを信号接続したことを特徴とする請求項1記載の安全保護計装システム。

#### 【請求項13】

ディジタルロジックを用いて構築された原子炉の安全保護計装システムの取扱方法において、安全保護計装システムを構成する機能ユニットへの全ての入力のロジックパターンに対する出力のロジックパターンを予め検証することを特徴とする安全保護計装システムの取扱方法。

#### 【請求項14】

複数の機能ユニットを備えた安全保護計装システムの各機能ユニットのデータ処理を、接続順にシリアルに動作する構成とし、そのシリアルに信号が伝送されていることを出力タイミングをモニタリングして確認し、その出力タイミングが設計どおりであることを検証することにより、安全保護計装システムの性能を検証することを特徴とする請求項13記載の安全保護計装システムの取扱方法。

#### 【請求項15】

機能ユニットを備えた安全保護計装システムの前記機能ユニットが、前記機能ユニットの性能を検証した際の内部構造と同一の構造であることを確認する検証工程を備えたことを特徴とする請求項13記載の安全保護計装システムの取扱方法。

#### 【書類名】明細書

【発明の名称】安全保護計装システムおよびその取扱方法

#### 【技術分野】

#### [00001]

本発明は、原子力プラントにおける安全保護系などに用いられる信頼性の高いディジタル信号処理装置で構成される安全保護計装システムおよびその取扱方法に関する。

#### 【背景技術】

#### [0002]

原子力プラントにおいては、プラントの安全性が損なわれるおそれのある異常が発生した場合や、あるいは、発生が予想される場合に、それを防止あるいは抑制するために安全保護計装システムが設けられている。この安全保護計装システムに関わる放射線計測装置は、何らかの原因によりプラント内の放射線量が上昇した場合に、プラント外への放射性物質の放出を抑制するために、放射線量が上昇している箇所を隔離したり、非常用のガス処理装置を作動させたりするための条件となる情報を各作動回路に提供することを目的に設けられている。

#### [0003]

近年のプラントには、このような安全保護計装システムに関わる放射線計測装置としてディジタル信号処理が適用されており、ディジタルフィルタや、複数の信号をひとつのCPUでディジタル演算する(例えば、特許文献1参照)。一方、CPUを用いずに、ハードウエアロジックであるASIC/FPGAを用いたシステムもある(例えば、特許文献2参照)。このシステムは、CPUの代わりにASICが処理の手順を制御するもので、動作の単純化がなされている。

【特許文献1】特許第2653522号公報

【特許文献2】米国特許第5859884号明細書

#### 【発明の開示】

【発明が解決しようとする課題】

#### $[0\ 0\ 0\ 4\ ]$

一方、安全保護計装システムは、その重要性から、機器の多重化や独立化によって機器の単一故障による機能喪失を防止する等の要求がされているが、このようなソフトウェアを用いたディジタルシステムでは、冗長系に同一のソフトウェアを用いた場合、このソフトウェアの欠陥により機器の多重化の機能が損なわれる可能性が生じる。また、ディジタル処理は離散処理であるため、ある条件を満たした場合に、内部の欠陥によって特異な出力が生じるなどの予期できない動作が実行される可能性がアナログ素子よりも高いと考えられる。

#### [0005]

よって、ソフトウェアを用いたディジタル処理では、設計および製作を通じて高品質を確保するための品質保証活動とともに、ソフトウェア欠陥による共通要因故障の排除および管理外の変更に対しての適切な防護措置を講じることが要求されている。特に、ソフトウェアの共通要因故障を防止する方法として、検証及び健全性確認活動(Verification & Validation;以下、V&Vと称する)を実施している。V&Vとは、ディジタル型の安全保護系システムに要求される機能がソフトウェアの設計および製作の各過程において、上位の過程から下位の過程へ正しく反映されていることを確認する検証作業と、検証作業を経て製作されたシステムについて、要求機能が正しく実現されていることを確認する健全性確認作業からなる品質保証のための活動である。

#### [0006]

一方、CPUの代わりにASICまたはFPGAを用いたシステムは、最終的にハードワイヤードなロジックとして構成されるため、CPU処理と異なり、処理が決定的であるため処理時間も確定可能である。よって、これらFPGAを用いたシステムは、ディジタルロジックの半導体素子と見なすことができるので、その試験方法を適用してシステムを検証することが可能である。つまり、半導体素子の全入力および全内部状態に対する出力



#### [0007]

ただし、実際のASIC素子等においては、全入力ビット数と素子内部の状態の合計パターンが膨大となるため、全入力および全内部状態のパターンに応じた出力パターンをすべて予測値と比較することは困難である。よって、欠陥を効率的に見つけられる入力パターン列を評価することが重要となる。例えば、素子内部のロジックパターンから評価して内部のレジスタが1度は動作する入力パターン群や、または、Stack at faultの故障モードを想定し、この故障を検出可能な入力パターン列を故障シミュレーションして算出している。

#### [0008]

しかしながら、上述の検証方法は、あくまでも一部の入力パターンについて試験するものであるため、内部ロジックの組み合わせによって生じるような欠陥や、故障シミュレーションで想定しなかった故障については検出することができないという問題があった。

#### [0009]

さらに、ロジックをFPGAなどのハードウエアに実装する過程においては、ハードウエアの構成を記述するソフトウェアおよびこれらを実際のFPGA上のロジックに展開する論理合成ツールなどの汎用ソフトウエアツールが必要となる。よって、これら市販ソフトに内在する欠陥を排除するために、設計段階からの高い信頼性を確保する必要がある。

#### [0010]

上述したexhaustive testingを計装システムの性能検証に用いることができれば、スタティックなロジックエラー(確定的な論理誤り)はないことを示すことが可能であるが、上記検証方法が実施できない場合は、従来のソフトウェアと同等のV&Vなどの検証が必要となると考えられる。

#### [0011]

ただし、FPGAを用いたシステムは、CPU処理と異なって処理が決定的であり、処理時間も一般に確定可能である。また、単一ループで、単一の処理のみを実行可能であり、信頼性の高いシステムを構成するための設計条件を満たしやすいという特徴がある。

#### [0012]

上述したように、計装システムの検証性の観点からはハードウエアロジックに原子炉安全系システムを実装するメリットは高いが、課題として、全入力パターンに対する出力パターンの検証が必要であるため、exhaustive testing相当の検証レベルで確認する必要がある。

#### [0013]

従って、入力に対する出力の特性が設計どおりであることを容易に確認することができるシステムおよびそれを用いた検証方法が求められていた。

#### $[0\ 0\ 1\ 4]$

また、前記したスタティックな論理誤り以外にも内部の動作タイミングに起因するエラーがある。例えば、温度などの環境条件により内部ロジック間の伝送の遅延時間が変動した場合、雰囲気条件により誤動作する可能性がある。また、外部などの非同期部分とのデータ交換時には、受け取りタイミングにより値が確定しない場合もある。

#### [0015]

これらタイミングに起因するエラーを防止するには、設計段階でタイミングシミュレーションなどにより余裕をもった設計を行うとともに、外部とのインターフェイス部には、値が不定になりにくい同期化設計を採用するなどの一般的な設計手法を適用する必要がある。

#### [0016]

つまり、FPGAを用いた安全系システムにおいても、これらのタイミングに起因する 欠陥を防止しやすい構造および試験方法を採用することが重要であり、こうした構造のシ



#### [0017]

本発明は、上述したような事情を考慮してなされたものであり、FPGAなどのハードウエアロジックを用いた原子炉の安全保護計装システムにおける、スタティックな論理誤りや信号処理のタイミングに起因するエラーを防止することが可能な安全保護計装システムおよびその取扱方法を提供することを目的とする。

#### 【課題を解決するための手段】

#### [0018]

本発明の安全保護計装システムは、上述した課題を解決するため、ディジタルロジックを用いて構築された原子炉の安全保護計装システムにおいて、入力の全てのロジックパターンに対する出力のロジックパターンがあらかじめ検証された機能ユニットと、前記機能ユニットを組み合わせて構成した機能モジュールとによりディジタルロジック部分が構成されたことを特徴とするものである。

#### [0019]

また、本発明の安全保護計装システムの取扱方法は、ディジタルロジックを用いて構築された原子炉の安全保護計装システムの取扱方法において、安全保護計装システムを構成する機能ユニットへの全ての入力のロジックパターンに対する出力のロジックパターンを予め検証することを特徴とする方法である。

#### 【発明の効果】

#### [0020]

本発明の安全保護計装システムおよびその取扱方法によれば、ハードウエアロジックを 用いた原子炉安全系システムにおける、論理誤りや信号処理のタイミングに起因するエラ ーを防止することにより、安全性を向上することが可能となる。

#### 【発明を実施するための最良の形態】

#### [0021]

本発明に係る原子炉安全保護計装システムの実施の形態について図1~図9を用いて以下に説明する。

#### [0022]

#### (実施例1)

図1に、本発明に係る安全保護計装システムの実施例1の構成図を示す。

#### 100231

図1において、原子炉内に設置されているセンサ1 a、センサ1 bの出力は、安全保護計装システム 2 に入力され、この安全保護計装システム 2 により異常の有無を判定してトリップ信号を出力する構成である。安全保護計装システム 2 の内部には、センサ1 a,センサ1 bの信号をアナログで波形整形・増幅した後にディジタル値に変換する A D素子 3 bが設けられている。 A D素子 3 a, A D素子 3 bが設けられている。 A D素子 3 a, A D素子 3 bが出力するディジタル値は、フィルタ回路 4 a, フィルタ回路 4 b で信号変換される。このフィルタ回路 4 a, フィルタ回路 4 b は、複数の機能ユニット 5 を組み合わせて構成されている。図1 において、フィルタ回路 4 a, フィルタ回路 4 b、信号処理回路 6、トリップ判定器 7 が機能モジュールである。

#### [0024]

以下に機能ユニット5の構成および作用について説明する。

#### $[0\ 0\ 2\ 5]$

機能ユニット5は、例えば、Dフリップ・フロップ、ラッチ、8ビットデコーダ、8ビットカウンタ、8ビットシリアルパラレル変換、8ビット・8ビット入力ー加算器、8ビット・8ビット入力ー乗算器、8ビット・8ビットー比較器等から選択されるユニットであり、機能ユニット5に対する全入力パターンに対する出力パターンが、設計仕様から期待される予測値のパターンとすべて一致していることを確認することが可能なロジックである。

#### [0026]



#### [0027]

図2に、機能ユニット5aを試験する構成図を示す。なお、以下の記述において、機能 ユニット5に付したアルファベットは、構成が異なる機能ユニット同士を区別するもので ある。アルファベットを付さず、単に機能ユニット5と記述したものは、共通の構成につ いての記述を示す。

#### [0028]

図2に示すように、機能ユニット5aを実ハードウエアに実装して信号発生器8からの信号を入力する。一方、機能ユニット5aの出力は、信号受信器9で測定され、判定装置10において入力パターンに対する予測値と受信した信号とを比較して、機能ユニット5aの異常の有無を検出する。機能ユニット5aへの全入力パターンに対して異常が検出されなければ、機能ユニット5aとして認証する。

#### [0029]

上記のように、実ハードウエアであるFPGAに実装して試験することにより、論理合成ツールやFPGAへの書き込みツール等の市販ソフトのエラーを同時に検証することが可能となる。

#### [0030]

機能ユニット5の内部は、And回路、OR回路などのFPGA素子ハード固有の基本要素で構成されている。しかし、これらの機能ユニット5を組み合わせて機能モジュールを実現する場合には、論理合成ツールが論理すなわち基本要素の組み合わせの最適化を実施するため、単体で検証したロジック構成と異なる構成でハードウエアに実装される。そのため、組み合わせた場合に論理の最適化を行わないように論理合成ツールまたはFPGAに実装する配置配線ツールのオプションを選定し、検証に用いたロジック構成と同一のロジックが機能モジュール内部に実装されていることを確認した後に、各機能モジュールを構築していく。

#### [0031]

また、全体の安全保護計装システムが完成した後にも、内部の機能ユニット5が、試験で用いたロジック構成と同一であることを目視等により行うことにより、安全保護計装システム全体が検証された機能ユニット5で構成されていることを確認する。

#### [0032]

図3に、機能ユニット5をフィルタ回路4aに実装した構成図を示す。これは、図2の構成により試験された機能ユニット5aを実装した機能モジュールである。

#### [0033]

機能ユニット5aは、フリップフロップで信号を出力する構成を採用することにより、内部のロジック構成を維持した状態で機能モジュールに実装することが可能となる。例えば、24ビットの加算器は、検証された12ビットの加算器を2つ組み合わせて構成することが可能であるが、本発明の安全保護計装システムは、12ビット加算器のロジック構成を維持するために、12ビット加算器の出力ごとにフリップフロップを設ける。フリップフロップとは、安定状態を保つように構成された2つの回路を示す。このように構成された12ビットの加算器の出力は、フリップフロップが1クロックで動作すると考えた場合、2クロック分、出力が遅延する。

#### [0034]

本発明の安全保護計装システムは、1クロックで出力が得られる多ビット入力の演算回路を、機能の検証が可能な小ビット入力の機能ユニット5a,機能ユニット5b,機能ユニット5cに分割し、複数のクロックで演算結果を得る構成とする。このような構成とすることにより、全入力に対する機能の検証が容易になるとともに、各ロジックのタイミン

出証特2005-3035375



#### [0035]

すなわち、タイミングエラーはフリップフロップ間のロジックの組み合わせで生じる遅延時間が、フリップフロップを駆動するクロックに比べて長くなった場合に発生するが、本実施例の安全保護計装システムのように、組み合わせ回路部分を分割することにより遅延時間を短くでき、また個別にタイミングを検証することが可能となる。図3に示す構成は、機能ユニットの組み合わせ数に応じて出力が得られるまでのクロック数が異なるため、2つの信号の比較や加算などを実行する場合には、遅延素子11を設けてタイミングを調整する。

#### [0036]

図4に、機能ユニット間のクロックおよびデータの受け渡しの構成図を示す。

#### [0037]

機能ユニット5間のデータ転送時のタイミングエラーを低減するには、機能ユニット5内のフリップフロップを同一のクロック周期で、しかも、クロックの立ち上がりなどの同一タイミングで駆動するような構成とする。

#### [0038]

一方、異なるクロック周期を用いる場合は、図4に示すように、データ送受信の可・不可を判断するハンドシェイクを機能ユニット5bと信号処理回路6の間に用い、データ受け渡しを確保することにより、機能ユニットの接続に起因するタイミングエラーを除去することが可能である。

#### [0039]

以上説明のように、本実施例の安全保護計装システムによれば、全入出力パターンが検証された機能ユニットを、その内部ロジック構成を維持した状態で各機能モジュールに組み込むことにより、定常的なロジックの欠陥を削除できる。また、機能ユニット内のフリップフロップにより、もうひとつの発生しやすいエラーであるタイミングエラーについてもタイミング余裕のある設計が可能となり、機能モジュール内でのタイミング検証も容易となる。さらに、機能ユニット間の伝送にハンドシェイクを用いることにより、これらの接続に起因するタイミングエラーも除去することが可能となる。

#### [0040]

#### (実施例2)

実施例1の安全保護計装システムは、機能ユニット内のロジックが正常に動作するので、タイミングに起因するエラーもロジックの正常な接続により削除可能である。しかし、機能ユニットが間違って接続されたり、設計仕様に記載されない機能ユニットがソフトウェア上に内在する可能性もある。こうしたケースを解決する手法として本発明の安全保護計装システムの実施例2を示す。

#### [0041]

図5に、実施例2の安全保護計装システムに係るコンパレータを記述したソフトウェア(VHDL文)の一例を示す。

#### $[0\ 0\ 4\ 2\ ]$

機能ユニット5aはVHDL言語の記述では、ポート文によって呼び出される。機能ユニット5a内の数値のパターンは、事前に検証されているため、VHDL文法上で機能ユニット5aを正しく呼び出し可能なことが確認できれば、機能ユニットは正しく接続されていると判断できる。

#### [0043]

つまり、実施例2の構成において、図5のVHDL文内の定義文と異常時を想定して作成された冗長処理分を除いた、実際の実行に寄与するVHDL文の動作を検証できれば、機能ユニットの接続が正しいと確認できる。

#### [0044]

このVHDL文の実行の有無を評価するパラメータとして、一般にカバレッジ率という パラメータを使用する。全VHDL文に対するソフトウェアで実行したVHDL文の割合 を示したものをステートメントカバレッジと呼ぶ。また、IF文等の分岐がある場合は、 成立または不成立の両方をカウントして全体経路のパターンに対する実行経路数を示した ものをブランチカバレッジと呼ぶ。また、機能ユニット5内部の信号が(High→Lo w→High)と変化した信号の割合で示すものとしてトグルカバレッジがある。

#### [0045]

実施例2の安全保護計装システムは、ブランチカバレッジまたはトグルカバレッジを評 価指標として、すべての分岐条件を動作させる入力パターン群を作成し、その入力パター ンに対する出力と設計仕様から求めた予測値とが一致することを確認することにより機能 ユニットの接続が正しく行われていることを検証する。特に、トグルカバレッジは、論理 合成後のネットリスト上でもカバー率が評価可能であり、論理合成の影響を受けにくいと いう特徴がある。

#### [0046]

また、機能ユニット5が正常に接続されていることは、機能モジュールが設計仕様どお りの機能を有していることを確認する機能試験を実施することによっても確認できる。つ まり、仕様に記載された性能を確認するための入力パターン群を作成し、その入力群に対 する出力を予測値と比較し、差異のないことを確認することにより機能ユニットの接続を 検証可能である。

#### [0047]

この機能モジュールの機能を確認する機能試験においては、ディジタル値を入力し、出 力のディジタル値と予測値とを比較して差異の有無を検出する。しかし、ディジタル値で 比較する場合、1パターンの試験に必要な時間が数μ~数msec必要となり、多数の信 号パターンを迅速に評価することが難しい。

#### [0048]

そこで、図6に示すように、アナログ信号発生器12の信号を、AD素子13を介して 機能モジュールaに入力する。この出力はDA素子14を介してアナログ信号に変換され 、アナログ信号受信器15で計測されて設計仕様から算出した予測値と比較することによ って、出力と予測値との差異の有無を高速に比較評価することが可能となる。本実施例の ようにAD素子13, DA素子14を用いた方法によれば、ディジタル値で比較する場合 に比べ、微小な差異については検出できないが、測定に影響する測定精度以上の大幅な変 動を検出することにより機能を検証するには十分である。また、多数のパターンを高速で 処理できるため、ディジタル特有の不連続点や特異点の検出に有効である。

#### [0049]

次に、機能試験のテストパターンの選定方法を図7、図8を用いて説明する。図7は、 フィルタ機能モジュールを検証する場合の入力信号の大きさの選定方法の一例である。図 7に示すグラフの縦軸が数値のビット幅を模式的に示したもので、横軸がロジックの処理 数を示したものである。

#### [0050]

フィルタ回路である機能モジュール内部の、あるビット数のある処理手順でエラーが発 生した場合、フィルタ回路は線形であり、値の制限を行っていなければ、図7のように後 段の処理へエラーが伝播する。また、出力をDA変換してアナログ値で評価する場合は、 出力の下位ビット数の変動は、DA素子および回路ノイズの影響で測定できない。

#### [0051]

そこで、入力のレベルを例えば、T1~T4に分割し、ぞれぞれの入力に対応する出力 レンジで測定することにより、ディジタル値のフルビット幅のエラーを検出することが可 能となる。つまり、出力におけるエラー識別精度に応じて、入力の信号の大きさ(入力の レベル)を調整することでフィルタ内部に内在するエラーを検出できる。

#### [0052]

図8に、機能として周波数特性を試験する場合の、周波数測定点の選定方法の説明図を 示す。

#### [0053]



#### [0054]

図8の波形の例は、 $40\,\mathrm{MHz}$  サンプリングのローパスフィルタに、 $1\,\mathrm{MHz}$  サンプリングのハイパスフィルタを重ねた合計の周波数特性を示す。図8の実線は、 $1\,\mathrm{MHz}$  のハイパスフィルタの周波数特性を示し、破線が合計の周波数特性を示す。

#### [0055]

実線で示すハイパスフィルタの周波数特性は、 $1\,\mathrm{MHz}$ のサンプリングのため、 $5\,0\,0\,\mathrm{kHz}$ で周波数特性が折り返す形状となっており、この $5\,0\,0\,\mathrm{kHz}$ 以下の領域Aの周波数範囲の特性を検証すれば、本ハイパスフィルタの特性は検証できる。

#### [0056]

一方、破線で示す  $40\,\mathrm{MHz}$  サンプリングのローパスフィルタは、領域 Bのうち  $20\,\mathrm{MHz}$  以下の帯域でその減衰特性を検証する必要がある。ただし、ハイパスフィルタの影響により、 $20\,\mathrm{MHz}$  以下の周波数帯域では山、谷の特性を繰り返すため、この山相当の周波数を選定に、この包絡線を評価することで、ローパスフィルタの減衰特性を検証する。つまりディジタルフィルタの周波数特性を検証する場合、サンプリング周波数の 1/2 で周波数帯域を分類し、設計仕様に応じて測定点を選定する。

#### [0057]

上述したように、本実施例の安全保護計装システムによれば、ブランチカバレッジを100%とする全入力パターンを作成し、各入力パターンに対する出力パターンを順次確認していくことにより、各機能モジュール内の機能ユニットがすべて正常に接続されていることが確認可能となる。また、各機能モジュールの機能を確認する機能試験によっても、機能ユニットが正常に接続されていることを確認できる。機能試験においては、AD素子,DA素子を用いてアナログ信号によって比較することで、多数のパターンを連続的に試験可能であり、原子炉安全計装システムの性能の検証が容易となる。

#### [0058]

(実施例3)

図9に、乗算器16によって全入力に対する出力パターンを検証する場合のテスト範囲を示す。

#### [0059]

乗算器 16 のみを機能ユニットとしたテスト範囲 A の場合、乗算器の 2 つの入力は 16 ビットであるため、全入力パターンは、  $2^{(16+16)}$  となり、このパターンを数日で検証することは困難である。しかし、フィルタ処理を想定した場合、信号変数に対して一定の定数を乗算するパターンがほとんどである。

#### [0060]

そこで図9に示すように、本実施例の安全保護計装システムは、ルックアップテーブル(LUT)17で定数を選択して乗算器16に定数を入力する構成とする。

#### [0061]

このように構成した安全保護計装システムは、機能ユニットをテスト範囲B´とした場合、データを選択するアドレスは 4 ビットであるため、テスト範囲Bの入力ビット数は、4+16=20 ビットとなり、この場合のテストパターン数は  $2^{(4+16)}$  となるので、全入力パターンに対する出力を試験評価することが容易となる。

#### [0062]

上述したように、本実施例の安全保護計装システムによれば、機能ユニット内部にルックアップテーブルを設けることにより全入力パターン数を削減できる。

#### [0063]

(実施例4)



#### [0064]

機能ユニット5から構成された機能モジュールは、機能ユニット5を多数内蔵しているために、数クロック遅れて出力が得られる。そこで、出力時に、出力のデータとともに正常終了時には動作フラッグを、出力先の機能モジュールに伝送する。この動作フラッグは、複数の機能モジュール間をリレー式で伝達し、トリップ判定器7における動作フラッグの有無を異常診断回路18で判断し、一定時間以上動作フラッグが存在しない場合など、正常時の特性と大幅に異なるケースは、動作不良出力を出力する。

#### [0065]

他に、出力有無の動作フラッグの他に、図11に示すように、各機能モジュールの入力 パターンに対する出力パターンの範囲を近似式で算出し、実際の出力値がその範囲を逸脱 した場合に、動作不良出力を出力する。

#### [0066]

本実施例によれば、機能ユニットまたは機能モジュール単位でフラッグまたは数値範囲を設定し、自己診断機能を設けたので、プラントに設置された後に生じる欠陥を防止することが可能となる。

#### [0067]

(実施例5)

図12に、ロジックパターンが検証された機能ユニットから構成された原子炉安全保護 計装システムにおける、信号分離方法の説明図を示す。

#### [0068]

この実施例 5 は、第1の安全保護計装システム 2 b と第2の安全保護計装システム 2 c の信号伝送の独立性を確保するために光伝送を用いる。つまり、信号伝送側である第1の安全保護計装システム 2 b においては、伝送データをDA素子 1 4 でアナログ信号に変換し、そのアナログ信号をEO変換器 1 9 によって電気・光学変換し、光の強度または変調データにより伝送する。一方、信号の受信側となる第2の安全保護計装システム 2 c は、光強度データまたは変調データをOE変換器 2 0 で光・電気変換を行った後に、AD素子 1 3 でAD変換してディジタル値へ変換する。

#### [0069]

また図13に示す構成は、第1の安全保護計装システム2bにおいてFPGAで処理するディジタルデータをDA変換素子14で一度アナログ信号に変換した後に、再度AD素子13でディジタルデータに変換し、そのディジタルデータをEO変換器19で光のディジタルデータで伝送する。第2の安全保護計装システム2cにおいては、第1の安全保護計装システム2bのディジタル光データをQE変換器20でディジタルデータに変換してディジタル処理に用いる。

#### [0070]

同一のディジタル値を複数の独立なシステムに分配する場合、あるデータパターンで誤動作するソフトウェアが各システムに内在すると、同一データが入力されることにより、同時に故障するケースが考えられる。そこで、本実施例の安全保護計装システムは、データをアナログ値に変換することにより、ノイズ成分が伝送信号に加えられることで、同一のディジタルデータが同時に異なるシステムに伝送されることを防止できる。

#### [0071]

本実施例の安全保護計装システムによれば、機能ユニットを用いた原子炉安全保護計装システムの独立性を確保するとともに、ディジタル信号処理を用いた安全系システムの課題である共通モード故障の発生割合を低減することが可能となる。

#### [0072]

(実施例6)

図14に、本発明の実施例6の安全保護計装システムの基本構成図を示す。

#### [0073]



#### [0074]

これらの機能ユニット間の信号伝送は、フリップフロップによってクロックに同期して 出力されるが、その出力タイミングは、機能ユニットによって異なる構成とすることが可 能である。本実施例においては、図14において、機能ユニット5aの出力が、機能ユニ ット5bに入力された後に、機能ユニット5bの信号処理を行うように、機能ユニットが データというバトンを順次に渡して処理を行う構成とする。

#### [0075]

このような構成に機能ユニットを接続することにより、バトン(データ)の渡るタイミングを監視することで、処理動作自体の検証が可能となる。つまり、図14に示す外部ピンA21、外部ピンB22、外部ピンC23、外部ピンD24を設け、これらの機能ユニットの信号をモニタリングすることにより、設計どおりのタイミングで動作することを検証することができる。また、動作中も、各タイミングの変動を監視することで、動作の不具合を検出することが可能となる。

#### [0076]

図15に、実際にFPGAの外部ピンから内部の機能ユニットの出力タイミングをモニタした一例を示す。図15の下部側が入力信号で、上部側に順に外部ピンA21,外部ピンB22,外部ピンC23,外部ピンD24,外部ピンE25の出力信号が示されている

#### [0077]

下部側に信号(データ)が入力されると、下部側に近いロジックから順番に信号を転送し、最終的に上部側の出力段が出力される。この信号伝送のタイミングは、図15に示す複数のロジック信号により確認できる。このロジック信号のタイミングは、設計固有のものであり、このロジック信号のタイミングを監視することで、設計どおりのロジックが実装されているかどうか検証可能である。また、通常動作中もこれらロジック信号のタイミングをモニタリングする機能を別途、設けておくことにより、動作中の異常な加熱等による内部信号ラインの遅延時間の増大によるロジック演算の誤動作を監視することが可能となる。

#### [0078]

以上、本実施例の安全保護計装システムによれば、各機能ユニットがシリアルに動作し、その信号を順次伝送する構成とし、その信号伝送タイミングをモニタリングすることにより、設計どおりの論理がFPGAに実装されていることが検証できる。また、異常診断方法として、これら信号伝送の順番、タイミングをモニタすることにより、信頼性の高い安全保護計装システムが構築可能である。

#### [0079]

#### (実施例7)

図16に、実施例7の安全保護計装システムの構成図を示す。

#### [0080]

例えば、図16に示すような安全保護計装システムは、同一の機能ユニット5が4つシリアルに接続され、それらの出力がフリップフロップで同期して出力される構成となっている。このような構成とした安全保護計装システムにおいて、各機能ユニット5が、接続前の単体の機能ユニット5と同じロジック構成であることを検証することにより、単体の機能ユニット5で検証した場合と同じ機能が安全保護計装システムに実装されていることが保証される。

#### [0081]

すなわち、図16に示す安全保護計装システムの各機能ユニット5の内部は、単体での 試験時に性能の健全性が確認されている。この機能ユニット5を図16のように接続し、 論理合成後も性能が維持されていることを、論理合成後に目視等で確認する検証方法を採 用することにより、安全保護計装システムにおける機能ユニット5の健全性が保証される

#### 【図面の簡単な説明】

#### [0082]

- 【図1】入出力特性が検証された機能ユニットから構成された本発明の安全保護計装システムの構成図。
- 【図2】機能ユニットの入出力特性を検証する試験方法の構成図。
- 【図3】機能モジュールの内部構成を説明する構成図。
- 【図4】機能モジュールのクロックの同期化と、非同期部分のハンドシェイクの信号 伝送を説明する構成図。
- 【図5】ブランチカバレッジを指標とする構造テストを説明する構成図。
- 【図6】AD素子およびDA素子により信号を検証する構成図。
- 【図7】入力信号のレベルを調整してエラーを検証する構成図。
- 【図8】信号の周波数特性を検証する構成図。
- 【図9】機能ユニットの試験パターンのルックアップテーブルによる削減手法を説明する構成図。
- 【図10】本発明の安全保護計装システムによるシステムの第一の自己診断方法を説明する構成図。
- 【図11】本発明の安全保護計装システムによるシステムの第二の自己診断方法を説明する構成図。
- 【図12】本発明の安全保護計装システムによる信号分離手法の説明図。
- 【図13】第1の安全保護計装システムと第2の安全保護計装システムを信号接続して構成した安全保護計装システムの構成図。
- 【図14】本発明の安全保護計装システムにおける機能ユニットのシリアル動作とそのタイミング監視による検証・診断方法を説明する構成図。
- 【図15】本発明の安全保護計装システムにおける出力タイミングの監視例を示す模式図。
- 【図16】本発明の安全保護計装システムにおける機能ユニットの接続例を示す構成図。

#### 【符号の説明】

### [0083]

- 1 センサ
- 2 安全保護計装システム
- 3 AD素子
- 4 フィルタ回路
- 5 機能ユニット
- 6 信号処理回路
- 7 トリップ判定器
- 8 信号発生器
- 9 信号受信器1 0 判定装置
- 11 遅延素子
- 12 アナログ信号発生器
- 13 AD素子
- 14 DA素子
- 15 アナログ信号受信器
- 16 乗算器
- 17 ルックアップテーブル
- 18 異常診断回路
- 19 EO変換器

- 20 OE変換器
- 21 外部ピンA
- 22 外部ピンB
- 23 外部ピンC
- 24 外部ピンD
- 25 外部ピンE

# 【書類名】図面【図1】



5:機能ユニット □ □ 図 ◎ ■ □ □ 図 ◎ ■ □

# 【図2】









#### 【図5】

## VHDL 文





0. 1

0. 01 1. E+03

1. E+07

1. E+06

1. E+05

周波数[Hz]

1. E+04





【図10】













【書類名】要約書

【要約】

【課題】FPGAなどのハードウエアロジックを用いた原子炉の安全保護計装システムにおける、スタティックな論理誤りや信号処理のタイミングに起因するエラーを防止することが可能な安全保護計装システムおよびその取扱方法を提供する。

【解決手段】ディジタルロジックを用いて構築された原子炉の安全保護計装システムにおいて、入力の全てのロジックパターンに対する出力のロジックパターンがあらかじめ検証された機能ユニットと、前記機能ユニットを組み合わせて構成した機能モジュールとによりディジタルロジック部分が構成されたことを特徴とする安全保護計装システム。

【選択図】 図1

ページ: 1/E

特願2004-061156

出願人履歴情報

識別番号

[000003078]

1. 変更年月日 [変更理由]

2001年 7月 2日

[変更理由]

住所変更

住 所 氏 名 東京都港区芝浦一丁目1番1号

株式会社東芝